Preguntas más frecuentes: protección contra correo no deseado

• Mensajes entrantes: La mayoría del correo no deseado se detecta mediante el filtrado de conexiones en el perímetro del servicio, que se basa en la dirección IP del servidor de correo electrónico de origen. Las directivas contra correo no deseado (también conocidas como directivas de filtro de correo no deseado o directivas de filtro de contenido) inspeccionan y clasifican los mensajes como correo no deseado, spam de alta confianza, suplantación de identidad (phishing) o phishing de alta confianza.

  Las directivas contra correo no deseado se usan en las directivas de seguridad preestablecidas Standard y Strict. Puede crear directivas personalizadas contra correo no deseado que se apliquen a grupos específicos de usuarios. También hay una directiva antispam predeterminada que se aplica a todos los destinatarios que no se especifican en las directivas de seguridad preestablecidas de Standard y Strict o en las directivas personalizadas.

  De forma predeterminada, los mensajes que se identifican como correo no deseado se mueven a la carpeta Junk Email mediante la directiva de seguridad preestablecida de Standard, las directivas de antispam personalizadas (configurables) y la directiva predeterminada contra correo no deseado (configurable). En la directiva de seguridad preestablecida estricta, los mensajes de correo no deseado se ponen en cuarentena.

  Para obtener más información, consulte Configurar directivas contra correo no deseado y Directivas de correo no deseado recomendadas.

  Importante

  En entornos donde las características de seguridad integradas para todos los buzones de correo en la nube protegen los buzones de Exchange locales, debe configurar reglas de flujo de correo de Exchange (también conocidas como reglas de transporte) en la organización local de Exchange para reconocer los veredictos de filtrado de correo no deseado de la nube. Para obtener más información, consulte Entrega de correo no deseado detectado en la nube a la carpeta junk Email en buzones locales.

  Después de crear manualmente la regla en Microsoft 365 para que coincida con la regla en Exchange local, la regla se replica en entornos híbridos.

• Mensajes salientes: El mensaje se enruta a través del grupo de entrega de alto riesgo o se devuelve al remitente en un informe de no entrega (también conocido como NDR o mensaje de rebote). Para obtener más información, consulte Protección contra correo no deseado saliente.

Una variante de spam de día cero es una variante de spam de primera generación, anteriormente desconocida, que nunca se ha capturado ni analizado, por lo que nuestros filtros antispam aún no pueden detectarlo. Después de que nuestros analistas de correo no deseado capturen y analicen una muestra de correo no deseado de día cero, si cumple los criterios de clasificación de correo no deseado, nuestros filtros antispam se actualizan para detectarlo y ya no se consideran "día cero".

No. La directiva predeterminada contra correo no deseado protege a todos los destinatarios actuales y futuros de la nube de la organización de Microsoft 365 después de registrarse en el servicio y agregar su dominio.

Como administrador, puede usar los métodos siguientes para refinar aún más la protección contra correo no deseado:

• Agregue usuarios a las directivas de seguridad preestablecidas de Standard y Strict.
• Edite la configuración predeterminada de filtrado de correo no deseado en la directiva de antispam predeterminada.
• Cree directivas contra correo no deseado que se apliquen a los usuarios, grupos o dominios especificados de su organización.

Para más información, consulte los siguientes artículos:

• Configuración recomendada de directivas contra correo no deseado
• Configurar directivas contra correo electrónico no deseado
• Directivas de seguridad predefinidas

Los cambios pueden tardar hasta 1 hora en surtir efecto después de guardarlos.

Este retraso no se debe a la latencia de actualización de directivas. En su lugar, el retraso se debe a la expansión de la pertenencia a grupos y a la latencia de almacenamiento en caché. Los objetos de reglas de directiva de amenazas y antispam se basan en el mismo motor de reglas que usan las reglas de flujo de correo de Exchange (también conocidas como reglas de transporte) y, por tanto, heredan el mismo comportamiento de evaluación de pertenencia a grupos.

Se aplican dos latencias cuando cambia la pertenencia a grupos:

• Las modificaciones de grupos pueden tardar hasta 2 horas en sincronizarse de Microsoft Entra a Exchange Online.
• La pertenencia a grupos almacenados en caché en el motor de reglas de transporte puede tardar hasta 3 horas adicionales en actualizarse.

Aunque la mayoría de los cambios de pertenencia a grupos se reflejan en un plazo de 2 horas, en el peor de los casos, la latencia combinada puede ser de hasta 5 horas. Si un cambio de directiva debe surtir efecto rápidamente para un usuario específico, establezca el ámbito de la directiva a los usuarios en lugar de a los grupos.

Sí. Para obtener más información sobre el correo electrónico masivo, consulte ¿Cuál es la diferencia entre el correo electrónico no deseado y el correo electrónico masivo? y El nivel de quejas masivas (BCL).

Sí, el servicio tiene un filtro de dirección URL que comprueba las direcciones URL dentro de los mensajes. Si se detectan direcciones URL asociadas a correo no deseado conocido o contenido malintencionado, el mensaje se marca como correo no deseado.

Los clientes con Microsoft Defender para licencias de Office 365 también obtienen protección de vínculos seguros. Para obtener más información, consulte Vínculos seguros en Microsoft Defender para Office 365.

Consulte Notificar mensajes y archivos a Microsoft.

Sí. Los siguientes informes están disponibles:

• Informe de detecciones de correo no deseado
• Informe de estado de protección contra amenazas
• Informe de envíos (administradores)
• Informe de mensajes notificados por el usuario

Sí, la herramienta de seguimiento de mensajes le permite seguir los mensajes de correo electrónico a medida que pasan por el servicio para averiguar qué les ha sucedido. Para obtener más información sobre cómo usar la herramienta de seguimiento de mensajes para averiguar por qué se ha marcado un mensaje como correo no deseado, consulte ¿Era un mensaje marcado como correo no deseado?.

Si más de la mitad del correo electrónico enviado por un usuario dentro de un período de tiempo determinado (por ejemplo, por hora) se identifica como correo no deseado, el usuario no podrá enviar mensajes. En la mayoría de los casos, el correo no deseado saliente se enruta a través del grupo de entrega de alto riesgo, lo que reduce la probabilidad de que el grupo de direcciones IP de salida normal se agregue a las listas de bloqueos.

Las notificaciones se envían automáticamente cuando los usuarios se bloquean debido al envío de correo no deseado saliente o al superar los límites de envío. Para obtener más información, consulte Protección contra correo no deseado saliente.

Sí. Aunque te recomendamos que apuntes tu registro MX directamente a Microsoft, nos damos cuenta de que hay razones empresariales legítimas para enrutar tu correo electrónico a otro lugar que no sea Microsoft primero.

• Entrante: cambie los registros MX para que apunten al proveedor que no es de Microsoft, que luego enruta los mensajes a Microsoft 365 para su entrega. Para obtener más información, vea Filtrado mejorado para conectores en Exchange Online.
• Saliente: configure el enrutamiento de host inteligente de Microsoft 365 al proveedor de destino que no es de Microsoft.

Sí. Para obtener más información, consulte Protección de su privacidad en Internet.

El servicio se centra en la detección y eliminación de spam y malware, aunque en ocasiones es posible que investiguemos campañas especialmente peligrosas o perjudiciales y persigamos a los autores. Esta búsqueda podría implicar trabajar con nuestras unidades de delitos legales y digitales para acabar con una red de bots, impedir que el spammer use el servicio (si lo usan para enviar correo electrónico saliente) y pasar la información a las fuerzas del orden para su procesamiento penal.

Las directrices de Remitentes externos: Solución de problemas de correo electrónico enviado a Microsoft 365 y las siguientes directrices son procedimientos recomendados para enviar mensajes de correo electrónico salientes:

• El dominio de correo electrónico de origen debe resolverse en DNS: por ejemplo, si el remitente está user@fabrikam, el dominio fabrikam se resuelve en la dirección IP 192.168.43.10.

  Si un dominio de envío no tiene registro A ni registro MX en DNS, el servicio enruta el mensaje a través de su grupo de entrega de mayor riesgo, independientemente del contenido del mensaje. Para obtener más información sobre el grupo de entrega de alto riesgo, consulte Grupo de entrega de alto riesgo para los mensajes salientes.

• El servidor de correo electrónico de origen debe tener una entrada DNS inversa (PTR): por ejemplo, si la dirección IP de origen de correo electrónico es 192.168.43.10, la entrada DNS inversa sería 43-10.any.icann.org.

• Los comandos HELO/EHLO y MAIL FROM deben ser coherentes, presentes y usar un nombre de dominio en lugar de una dirección IP: el comando HELO/EHLO debe configurarse para que coincida con el DNS inverso de la dirección IP de envío. Esta configuración ayuda a garantizar que el dominio sigue siendo el mismo en las distintas partes de los encabezados de mensaje.

• Asegúrese de que los registros SPF adecuados están configurados en DNS: los registros SPF son un mecanismo para validar que el correo enviado desde un dominio procede realmente de ese dominio y no está suplantado. Para obtener más información acerca de los registros de SPF, consulte los siguientes vínculos:

  • Configuración de SPF para identificar orígenes de correo electrónico válidos para los dominios de nube personalizados
  • Preguntas más frecuentes de dominios

• Firmar correo electrónico con DKIM, firmar con canonización relajada: si un remitente quiere firmar sus mensajes mediante correo identificado con claves de dominio (DKIM) y quiere enviar correo saliente a través del servicio, debe firmar con el algoritmo de canonización de encabezado relajado. Firmar con una resolución de nombres canónicos del encabezado estricta puede invalidar la firma cuando pase por el servicio.

• Los propietarios de dominios deben tener información precisa en la base de datos WHOIS: esta configuración identifica a los propietarios del dominio y cómo ponerse en contacto con ellos escribiendo la empresa primaria estable, el punto de contacto y los servidores de nombres.

• Dar formato a los mensajes de rebote salientes: cuando los mensajes generan informes de no entrega (también conocidos como NDR o mensajes de rebote), los remitentes deben seguir el formato de un rebote tal como se especifica en RFC 3464.

• Quitar direcciones de correo electrónico recuperadas para usuarios inexistentes: si recibe un NDR que indica que una dirección de correo electrónico ya no está en uso, quite el alias de correo electrónico inexistente de la lista. Las direcciones de correo electrónico cambian con el tiempo, y la gente a veces deja de utilizarlas.

• Usar el programa Smart Network Data Services (SNDS) de Outlook.com: para obtener más información, consulte Smart Network Data Service.

Si usa un dispositivo o servicio de protección que no es de Microsoft para examinar el correo electrónico antes de entregarlo a Microsoft 365, puede usar una regla de flujo de correo (también conocida como regla de transporte) para omitir la mayoría del filtrado de correo no deseado para los mensajes entrantes. Para obtener instrucciones, consulte Uso de reglas de flujo de correo para establecer el nivel de confianza de correo no deseado (SCL) en los mensajes. No se puede omitir el examen de malware y mensajes de suplantación de identidad de alta confianza.

Si usa un dispositivo o servicio de protección que no es de Microsoft para examinar el correo electrónico antes de entregarlo a Microsoft 365, también debe habilitar el filtrado mejorado para conectores (también conocido como omitir lista) para que las características de detección, generación de informes e investigación de Microsoft 365 puedan identificar correctamente los orígenes de mensajes. Para obtener más información, vea Filtrado mejorado para conectores.

Si necesita eludir los filtros de spam para los buzones de SecOps o las simulaciones de phishing, no use las reglas de flujo de correo. Para obtener más información, consulte Configuración de la entrega de simulaciones de suplantación de identidad que no son de Microsoft a los usuarios y mensajes sin filtrar a buzones de SecOps.

El correo electrónico legítimo se puede marcar incorrectamente como correo no deseado (un falso positivo) por varias razones. En la tabla siguiente se describen las causas más comunes y qué hacer al respecto:

Cómo investigar un falso positivo

1. Examine los encabezados del mensaje: examine el X-Forefront-Antispam-Report encabezado para ver el nivel de confianza de correo no deseado (SCL), el nivel de queja masiva (BCL) y el veredicto de filtrado. Compruebe los resultados de SPF, DKIM y DMARC en el Authentication-Results encabezado.

   Para obtener más información sobre la interpretación de encabezados antispam, consulte Encabezados de mensajes antispam.

2. Usar seguimiento de mensajes: en el Centro de administración de Exchange, vaya aSeguimiento de mensajes de flujo > de correopara realizar un seguimiento del mensaje y ver qué regla de filtrado o directiva lo marcaron.

3. Compruebe el Explorador de amenazas o las detecciones en tiempo real (requiere Microsoft Defender para Office 365): use el Explorador de amenazas para buscar el mensaje y revisar la tecnología de detección, la acción de entrega y los detalles de invalidación.

4. Envíe el mensaje a Microsoft: informe del falso positivo a Microsoft para su análisis. Para obtener más información, consulte Notificar mensajes y archivos a Microsoft.

Cómo evitar futuros falsos positivos

Use los métodos siguientes (en orden de preferencia) para evitar que se marque el correo electrónico legítimo:

1. Corrección de la causa principal: si el falso positivo se debe a errores de autenticación, corrija la configuración de SPF, DKIM o DMARC. Si se debe al contenido, trabaje con el remitente para ajustar el contenido del mensaje.

2. Notificar el falso positivo: use la página Envíos del portal de Microsoft Defender para enviar el mensaje a Microsoft. Si procede, Microsoft crea una entrada allow en la lista de permitidos o bloqueados de inquilinos. Para obtener más información, vea Notificar un buen correo electrónico a Microsoft.

3. Crear una entrada de lista de permitidos o bloqueados de inquilinos: permita temporalmente el remitente, el dominio o la dirección URL mientras Microsoft revisa el envío. Para obtener más información, consulte Lista de permitidos o bloqueados de inquilinos.

4. Usar reglas de flujo de correo (con precaución): cree una regla de flujo de correo para establecer la SCL en -1 para los mensajes del remitente específico, pero solo si está seguro de que el remitente es legítimo. Para obtener más información, consulte Uso de reglas de flujo de correo para establecer la SCL en los mensajes.

Para obtener una guía paso a paso completa, consulte Cómo controlar el bloqueo de correos electrónicos legítimos (falsos positivos).

El filtrado de correo no deseado de Microsoft 365 asigna un nivel de confianza de correo no deseado (SCL) a cada mensaje entrante. Los mensajes con SCL 5 o 6 se clasifican como spam, mientras que los mensajes con SCL 7, 8 o 9 se clasifican como spam de alta confianza. Para obtener un desglose completo de los valores de SCL y sus acciones predeterminadas, consulte Nivel de confianza de correo no deseado (SCL).

Diferencias clave

La acción para los veredictos de correo no deseado de alta confianza y correo no deseado se puede configurar en las directivas contra correo no deseado. Para obtener más información, consulte Configurar directivas contra correo no deseado y Directivas de correo no deseado recomendadas.

El correo electrónico masivo (también conocido como correo gris) incluye boletines, mensajes de marketing y promociones que los usuarios han optado por recibir. A diferencia del correo no deseado, el correo electrónico masivo suele ser de remitentes legítimos, pero las características de volumen y contenido pueden parecerse al correo no deseado.

Microsoft 365 asigna un nivel de queja masiva (BCL) a cada mensaje entrante. El valor de BCL oscila entre 0 (poco probable volumen) y 9 (lo más probable es que sea masivo). Para ver el desglose completo del valor de BCL, consulte Nivel de reclamación masiva (BCL).

Si la BCL de un mensaje cumple o supera el umbral de correo electrónico masivo establecido en la directiva antispam aplicable, el mensaje se trata como masivo y se aplica la acción configurada (de forma predeterminada, muévase a la carpeta de correo no deseado Email).

Paso 1: Identificar el umbral de BCL y el mensaje BCL

1. Buscar el umbral de BCL actual: compruebe el valor de umbral de correo electrónico masivo en la directiva antispam aplicable. Para conocer los umbrales de BCL predeterminados en cada tipo de directiva, consulte Nivel de queja masiva (BCL). Para obtener instrucciones sobre cómo ver el umbral, consulte Abrir la información de remitentes masivos en el portal de Microsoft Defender.

2. Busque el valor de BCL del mensaje: examine los encabezados del mensaje y busque el X-Microsoft-Antispam encabezado. El BCL: valor indica el nivel de queja masiva asignado al mensaje. Por ejemplo:

   X-Microsoft-Antispam: BCL:5;
   

Paso 2: Elegir una corrección

En función de su situación, use uno o varios de los métodos siguientes:

Opción A: Ajuste del umbral de BCL (recomendado para el ajuste en toda la organización)

Si hay demasiados mensajes masivos legítimos que van a la carpeta Email de correo no deseado, aumente el umbral de BCL en la directiva antispam aplicable. Un valor más alto significa que menos mensajes se clasifican como masivos. También puede usar la información de remitentes masivos para simular el efecto de los cambios de umbral antes de aplicarlos. Para obtener más información, consulte Cómo optimizar el correo electrónico masivo y Configurar directivas contra correo no deseado.

Opción B: Cambiar la acción de correo electrónico masivo

De forma predeterminada, los mensajes que cumplen el umbral masivo se mueven a la carpeta de Email no deseado. Puede cambiar esta acción a Ninguna acción si desea enviar correo electrónico masivo a la Bandeja de entrada. Para obtener más información, consulte Configurar directivas contra correo electrónico no deseado.

• Microsoft Defender portal: en acciones> de la directiva > contra correo no deseado, establezca el nivel de queja masiva (BCL) cumplido o superado en Ninguna acción u otra acción preferida.

• PowerShell:

  Set-HostedContentFilterPolicy -Identity "<Policy Name>" -BulkSpamAction NoAction
  

Opción C: Permitir remitentes masivos específicos

Si el problema está limitado a un remitente específico:

1. Nivel de organización: informe del mensaje como no no deseado: use la página Envíos del portal de Microsoft Defender en https://security.microsoft.com/reportsubmission para notificar el mensaje como falso positivo. Durante el envío, también puede crear una entrada de permiso para el remitente en la lista de permitidos o bloqueados de inquilinos. Para obtener más información, vea Notificar un buen correo electrónico a Microsoft.

2. Nivel de usuario: Agregar a remitentes seguros: el usuario puede agregar el remitente a su lista de remitentes seguros en Outlook o Outlook en la Web. Los mensajes de remitentes seguros no se entregan a la carpeta de Email no deseado. Para más información, vea Usar los filtros de correo electrónico no deseado para controlar los mensajes que ve.

   Los administradores pueden usar PowerShell para agregar remitentes a la lista Remitentes seguros en buzones en la nube. Para obtener más información, vea Configurar la colección de listas seguras en un buzón de correo.

   Precaución

   No agregue dominios a listas de remitentes seguros. A continuación, los atacantes podrían entregar correctamente el correo electrónico de esos dominios que, de lo contrario, se filtrarían.

Opción D: Usar la carpeta Promociones (versión preliminar)

Si está disponible en su organización, puede enrutar el correo electrónico masivo que esté por debajo del umbral de BCL a una carpeta Promociones dedicada en lugar de a la Bandeja de entrada.

Para obtener más información, consulte Entrega de correo masivo por debajo del umbral de BCL a la carpeta Promociones.

Opción E: Usar la información de remitentes masivos

Use la información de remitentes masivos en el portal de Microsoft Defender para identificar a los principales remitentes masivos que entregan correo a su organización. Esta información le ayuda a identificar para qué remitentes permitir, bloquear o ajustar umbrales.

Para obtener más información, consulte Información de remitentes masivos.

Flujo de trabajo de diagnóstico

Use el siguiente flujo de trabajo para diagnosticar y corregir problemas de enrutamiento masivo de correo electrónico:

Is the email going to Junk Email folder?
│
├─ Yes → Check message headers for BCL value
│        │
│        ├─ BCL ≥ threshold → Message classified as Bulk
│        │   │
│        │   ├─ Raise BCL threshold in anti-spam policy (Option A)
│        │   ├─ Change Bulk action to No action (Option B)
│        │   └─ Allow specific sender (Option C)
│        │
│        └─ BCL < threshold → Not a bulk issue; check SCL value
│            │
│            ├─ SCL 5-6 → Classified as Spam (see "Why was my legitimate email flagged as spam?")
│            └─ SCL 7-9 → Classified as High confidence spam
│
└─ No → Email is delivering correctly

Recursos de correo electrónico masivo relacionados

• ¿Cuál es la diferencia entre correo electrónico no deseado y correo electrónico masivo?
• Valores de nivel de queja masiva (BCL)
• Optimización del filtrado masivo de correo electrónico
• Información de remitentes masivos
• Configurar directivas contra correo electrónico no deseado